[要約] RFC 5607は、ネットワークアクセスサーバ(NAS)の管理のためのRADIUS(Remote Authentication Dial-In User Service)認証のための権限を定義しています。このRFCの目的は、NASの管理者がRADIUSを使用してユーザーの認証とアクセス制御を行うためのガイドラインを提供することです。
Network Working Group D. Nelson
Request for Comments: 5607 Elbrys Networks, Inc.
Category: Standards Track G. Weber
Individual Contributor
July 2009
Remote Authentication Dial-In User Service (RADIUS) Authorization for Network Access Server (NAS) Management
リモート認証ダイヤルインユーザーサービス(RADIUS)ネットワークアクセスサーバー(NAS)管理の認可
Abstract
概要
This document specifies Remote Authentication Dial-In User Service (RADIUS) attributes for authorizing management access to a Network Access Server (NAS). Both local and remote management are supported, with granular access rights and management privileges. Specific provisions are made for remote management via Framed Management protocols and for management access over a secure transport protocol.
このドキュメントは、ネットワークアクセスサーバー(NAS)への管理アクセスを承認するためのリモート認証ダイヤルインユーザーサービス(RADIUS)属性を指定します。地元とリモートの両方の管理がサポートされており、きめ細かいアクセス権と管理特権があります。特定の規定は、フレーム付き管理プロトコルを介したリモート管理、および安全な輸送プロトコルを介した管理アクセスのために行われます。
Status of This Memo
本文書の位置付け
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
このドキュメントは、インターネットコミュニティのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態とステータスについては、「インターネット公式プロトコル標準」(STD 1)の現在のエディションを参照してください。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (c) 2009 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright(c)2009 IETF Trustおよび文書著者として特定された人。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents in effect on the date of publication of this document (http://trustee.ietf.org/license-info). Please review these documents carefully, as they describe your rights and restrictions with respect to this document.
このドキュメントは、BCP 78およびこのドキュメントの公開日(http://trustee.ietf.org/license-info)に有効なIETFドキュメントに関連するIETF Trustの法的規定の対象となります。この文書に関するあなたの権利と制限を説明するので、これらの文書を注意深く確認してください。
This document may contain material from IETF Documents or IETF Contributions published or made publicly available before November 10, 2008. The person(s) controlling the copyright in some of this material may not have granted the IETF Trust the right to allow modifications of such material outside the IETF Standards Process. Without obtaining an adequate license from the person(s) controlling the copyright in such materials, this document may not be modified outside the IETF Standards Process, and derivative works of it may not be created outside the IETF Standards Process, except to format it for publication as an RFC or to translate it into languages other than English.
このドキュメントには、2008年11月10日までに公開または公開されたIETFドキュメントまたはIETFの貢献からの資料が含まれている場合があります。IETF標準プロセスの外。そのような資料の著作権を制御する人から適切なライセンスを取得しないと、このドキュメントはIETF標準プロセスの外側に変更されない場合があり、その派生作業は、ITF標準プロセスの外側で作成されない場合があります。RFCとしての出版または英語以外の言語に翻訳する。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . 3
2. Terminology . . . . . . . . . . . . . . . . . . . . . . . . . 4
3. Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
4. Domain of Applicability . . . . . . . . . . . . . . . . . . . 5
5. New Values for Existing RADIUS Attributes . . . . . . . . . . 6
5.1. Service-Type . . . . . . . . . . . . . . . . . . . . . . .6
6. New RADIUS Attributes . . . . . . . . . . . . . . . . . . . . 6
6.1. Framed-Management-Protocol . . . . . . . . . . . . . . . . 6
6.2. Management-Transport-Protection . . . . . . . . . . . . . 9
6.3. Management-Policy-Id . . . . . . . . . . . . . . . . . . . 11
6.4. Management-Privilege-Level . . . . . . . . . . . . . . . . 13
7. Use with Dynamic Authorization . . . . . . . . . . . . . . . . 15
8. Examples of Attribute Groupings . . . . . . . . . . . . . . . 15
9. Diameter Translation Considerations . . . . . . . . . . . . . 17
10. Table of Attributes . . . . . . . . . . . . . . . . . . . . . 18
11. IANA Considerations . . . . . . . . . . . . . . . . . . . . . 19
12. Security Considerations . . . . . . . . . . . . . . . . . . . 20
12.1. General Considerations . . . . . . . . . . . . . . . . . . 20
12.2. RADIUS Proxy Operation Considerations . . . . . . . . . . 22
13. Acknowledgments . . . . . . . . . . . . . . . . . . . . . . . 23
14. References . . . . . . . . . . . . . . . . . . . . . . . . . . 23
14.1. Normative References . . . . . . . . . . . . . . . . . . . 23
14.2. Informative References . . . . . . . . . . . . . . . . . . 23
RFC 2865 [RFC2865] defines the NAS-Prompt (7) and Administrative (6) values of the Service-Type (6) Attribute. Both of these values provide access to the interactive, text-based Command Line Interface (CLI) of the NAS, and were originally developed to control access to the physical console port of the NAS, most often a serial port.
RFC 2865 [RFC2865]は、Service-Type(6)属性のNAS-Prompt(7)およびAdministrative(6)値を定義します。これらの値は両方とも、NASのインタラクティブなテキストベースのコマンドラインインターフェイス(CLI)へのアクセスを提供し、元々はNASの物理コンソールポートへのアクセスを制御するために開発されました。
Remote access to the CLI of the NAS has been available in NAS implementations for many years, using protocols such as Telnet, Rlogin, and the remote terminal service of the Secure SHell (SSH). In order to distinguish local, physical, console access from remote access, the NAS-Port-Type (61) Attribute is generally included in Access-Request and Access-Accept messages, along with the Service-Type (6) Attribute, to indicate the form of access. A NAS-Port-Type (61) Attribute with a value of Async (0) is used to signify a local serial port connection, while a value of Virtual (5) is used to signify a remote connection, via a remote terminal protocol. This usage provides no selectivity among the various available remote terminal protocols (e.g., Telnet, Rlogin, SSH, etc.).
NASのCLIへのリモートアクセスは、Telnet、Rlogin、Secure Shell(SSH)のリモートターミナルサービスなどのプロトコルを使用して、長年にわたってNAS実装で利用できます。ローカル、物理、コンソールアクセスをリモートアクセスと区別するために、NAS-Port-Type(61)属性は一般に、サービスタイプ(6)属性とともに、アクセスリケストおよびアクセスacceptメッセージに含まれています。アクセスの形式。Async(0)の値を持つNASポートタイプ(61)属性は、ローカルシリアルポート接続を示すために使用されますが、仮想(5)の値は、リモート端子プロトコルを介してリモート接続を示すために使用されます。この使用は、利用可能なさまざまなリモート端子プロトコル(Telnet、Rlogin、SSHなど)の間で選択性を提供しません。
Today, it is common for network devices to support more than the two privilege levels for management access provided by the Service-Type (6) Attribute with values of NAS-Prompt (7) (non-privileged) and Administrative (6) (privileged). Also, other management mechanisms may be used, such as Web-based management, the Simple Network Management Protocol (SNMP), and the Network Configuration Protocol (NETCONF). To provide support for these additional features, this specification defines attributes for Framed Management protocols, management protocol security, and management access privilege levels.
今日、ネットワークデバイスは、NAS-PROMPT(7)(非主権)および管理(6)(特権の価値を持つサービスタイプ(6)属性が提供する管理アクセスの2つ以上の特権レベルをサポートすることが一般的です(特権)。また、Webベースの管理、Simple Network Management Protocol(SNMP)、ネットワーク構成プロトコル(NetConf)など、他の管理メカニズムが使用される場合があります。これらの追加機能をサポートするために、この仕様は、額入りの管理プロトコル、管理プロトコルセキュリティ、および管理アクセス特権レベルの属性を定義します。
Remote management via the command line is carried over protocols such as Telnet, Rlogin, and the remote terminal service of SSH. Since these protocols are primarily for the delivery of terminal or terminal emulation services, the term "Framed Management" is used to describe management protocols supporting techniques other than the command line. Typically, these mechanisms format management information in a binary or textual encoding such as HTML, XML, or ASN.1/BER. Examples include Web-based management (HTML over HTTP or HTTPS), NETCONF (XML over SSH or BEEP or SOAP), and SNMP (SMI over ASN.1/BER). Command line interface, menu interface, or other text-based (e.g., ASCII or UTF-8) terminal emulation services are not considered to be Framed Management protocols.
コマンドラインを介したリモート管理は、Telnet、Rlogin、SSHのリモート端子サービスなどのプロトコルを介して実行されます。これらのプロトコルは主にターミナルまたは端子エミュレーションサービスの提供用であるため、「フレーム管理」という用語は、コマンドライン以外の技術をサポートする管理プロトコルを記述するために使用されます。通常、これらのメカニズムは、HTML、XML、またはASN.1/BERなどのバイナリまたはテキストエンコードの管理情報をフォーマットします。例には、Webベースの管理(HTTPまたはHTTPSを介したHTML)、NetConf(SSHまたはBEEPまたはSOAP上のXML)、およびSNMP(SMI Over ASN.1/BER)が含まれます。コマンドラインインターフェイス、メニューインターフェイス、またはその他のテキストベース(ASCIIまたはUTF-8など)端子エミュレーションサービスは、管理プロトコルとは見なされません。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in RFC 2119 [RFC2119].
この文書のキーワード "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", および "OPTIONAL" はRFC 2119 [RFC2119]で説明されているように解釈されます。
This document uses terminology from RFC 2865 [RFC2865], RFC 2866 [RFC2866], and RFC 5176 [RFC5176].
この文書は、RFC 2865 [RFC2865]、RFC 2866 [RFC2866]、およびRFC 5176 [RFC5176]の用語を使用しています。
The term "integrity protection", as used in this document, is *not* the same as "authentication", as used in SNMP. Integrity protection requires the sharing of cryptographic keys, but it does not require authenticated principals. Integrity protection could be used, for example, with anonymous Diffie-Hellman key agreement. In SNMP, the proof of identity of the principals (authentication) is conflated with tamper-resistance of the protected messages (integrity). In this document, we assume that integrity protection and authentication are separate concerns. Authentication is part of the base RADIUS protocol.
このドキュメントで使用されている「整合性保護」という用語は、SNMPで使用される「認証」と同じではありません。整合性保護には、暗号化キーの共有が必要ですが、認証されたプリンシパルは必要ありません。たとえば、匿名のdiffie-hellmanキー契約では、整合性保護を使用できます。SNMPでは、プリンシパルのアイデンティティの証明(認証)は、保護されたメッセージの改ざん耐性(整合性)と混同されます。このドキュメントでは、整合性の保護と認証は別々の懸念であると想定しています。認証は、基本半径プロトコルの一部です。
SNMP uses the terms "auth" and "noAuth", as well as "priv" and "noPriv". There is no analog to auth or noAuth in this document. In this document, we are assuming that authentication always occurs when it is required, i.e., as a prerequisite to provisioning of access via an Access-Accept packet.
SNMPは、「auth」と「noauth」という用語、ならびに「priv」と「nopriv」を使用します。このドキュメントには、AuthまたはNoauthにアナログはありません。このドキュメントでは、認証が必要なときに常に発生すると仮定しています。つまり、アクセス許容版パケットを介してアクセスのプロビジョニングの前提条件としてです。
To support the authorization and provisioning of Framed Management access to managed entities, this document introduces a new value for the Service-Type (6) Attribute [RFC2865] and one new attribute. The new value for the Service-Type (6) Attribute is Framed-Management (18), used for remote device management via a Framed Management protocol. The new attribute is Framed-Management-Protocol (133), the value of which specifies a particular protocol for use in the remote management session.
マネージドエンティティへの額面化管理アクセスの承認とプロビジョニングをサポートするために、このドキュメントでは、Service-Type(6)属性[RFC2865]と1つの新しい属性の新しい価値を紹介します。Service-Type(6)属性の新しい値は、フレームマネージメント(18)であり、フレーム付き管理プロトコルを介してリモートデバイス管理に使用されます。新しい属性はフレームマネージメントプロトコル(133)であり、その値はリモート管理セッションで使用する特定のプロトコルを指定します。
Two new attributes are introduced in this document in support of granular management access rights or command privilege levels. The Management-Policy-Id (135) Attribute provides a text string specifying a policy name of local scope, that is assumed to have been pre-provisioned on the NAS. This use of an attribute to specify use of a pre-provisioned policy is similar to the Filter-Id (11) Attribute defined in [RFC2865] Section 5.11.
このドキュメントには、詳細な管理アクセス権またはコマンド特権レベルをサポートするために、2つの新しい属性が紹介されています。Management-Policy-ID(135)属性は、NASで事前に生成されたと想定されるローカルスコープのポリシー名を指定するテキスト文字列を提供します。この属性を使用して、事前に生成されたポリシーの使用を指定することは、[RFC2865]セクション5.11で定義されているフィルターID(11)属性と類似しています。
The local application of the Management-Policy-Id (135) Attribute within the managed entity may take the form of (a) one of an enumeration of command privilege levels, (b) a mapping into an SNMP Access Control Model, such as the View-Based Access Control Model (VACM) [RFC3415], or (c) some other set of management access policy rules that is mutually understood by the managed entity and the remote management application. Examples are given in Section 8.
管理されたエンティティ内のManagement-Policy-ID(135)属性のローカルアプリケーションは、(a)コマンド特権レベルの列挙の1つ、(b)SNMPアクセス制御モデルへのマッピングの形をとることができます。ビューベースのアクセス制御モデル(VACM)[RFC3415]、または(c)マネージドエンティティとリモート管理アプリケーションによって相互に理解されるその他の管理アクセスポリシールールのセット。例については、セクション8に記載されています。
The Management-Privilege-Level (136) Attribute contains an integer-valued management privilege level indication. This attribute serves to modify or augment the management permissions provided by the NAS-Prompt (7) value of the Service-Type (6) Attribute, and thus applies to CLI management.
Management-Privilege-Level(136)属性には、整数値の管理特権レベルの表示が含まれています。この属性は、Service-Type(6)属性のNAS-Prompt(7)値によって提供される管理権限を変更または拡大するのに役立ち、したがってCLI管理に適用されます。
To enable management security requirements to be specified, the Management-Transport-Protection (134) Attribute is introduced. The value of this attribute indicates the minimum level of secure transport protocol protection required for the provisioning of NAS-Prompt (7), Administrative (6), or Framed-Management (18) service.
管理のセキュリティ要件を指定できるようにするために、管理輸送輸送(134)属性が導入されます。この属性の値は、NAS-Prompt(7)、管理(6)、または額入り管理(18)サービスのプロビジョニングに必要な安全な輸送プロトコル保護の最小レベルを示しています。
Most of the RADIUS attributes defined in this document have broad applicability for provisioning local and remote management access to NAS devices. However, those attributes that provision remote access over Framed Management protocols and over secure transports have special considerations. This document does not specify the details of the integration of these protocols with a RADIUS client in the NAS implementation. However, there are functional requirements for correct application of Framed Management protocols and/or secure transport protocols that will limit the selection of such protocols that can be considered for use with RADIUS. Since the RADIUS user credentials are typically obtained by the RADIUS client from the secure transport protocol server or the Framed Management protocol server, the protocol, and its implementation in the NAS, MUST support forms of credentials that are compatible with the authentication methods supported by RADIUS.
このドキュメントで定義されているRADIUS属性のほとんどは、NASデバイスへのローカルおよびリモート管理アクセスをプロビジョニングするために幅広い適用可能性を備えています。ただし、フレーム付き管理プロトコルおよび安全なトランスポートを介してリモートアクセスを提供する属性には、特別な考慮事項があります。このドキュメントでは、これらのプロトコルの統合の詳細とNAS実装のRADIUSクライアントを指定していません。ただし、半径での使用と見なすことができるそのようなプロトコルの選択を制限する、フレーム付き管理プロトコルおよび/または安全な輸送プロトコルの正しい適用のための機能要件があります。RADIUSユーザー資格情報は通常、Secure Transport Protocol ServerまたはFramed Management Protocol ServerからRADIUSクライアントによって取得されるため、Protocol、およびNASでのその実装は、RADIUSがサポートする認証方法と互換性のある資格情報の形式をサポートする必要があります。。
RADIUS currently supports the following user authentication methods, although others may be added in the future:
RADIUSは現在、次のユーザー認証方法をサポートしていますが、他のユーザーは将来追加される可能性があります。
o Password - RFC 2865
o パスワード-RFC2865
o CHAP (Challenge Handshake Authentication Protocol) - RFC 2865
o chap(チャレンジハンドシェイク認証プロトコル)-RFC2865
o ARAP (Apple Remote Access Protocol) - RFC 2869
o ARAP(Appleリモートアクセスプロトコル)-RFC2869
o EAP (Extensible Authentication Protocol) - RFC 2869, RFC 3579
o EAP(拡張可能な認証プロトコル)-RFC2869、RFC 3579
o HTTP Digest - RFC 5090 The remote management protocols selected for use with the RADIUS remote NAS management sessions, for example, those described in Section 6.1, and the secure transport protocols selected to meet the protection requirements, as described in Section 6.2, obviously need to support user authentication methods that are compatible with those that exist in RADIUS. The RADIUS authentication methods most likely usable with these protocols are Password, CHAP, and possibly HTTP Digest, with Password being the distinct common denominator. There are many secure transports that support other, more robust, authentication mechanisms, such as public key. RADIUS has no support for public key authentication, except within the context of an EAP Method. The applicability statement for EAP indicates that it is not intended for use as an application-layer authentication mechanism, so its use with the mechanisms described in this document is NOT RECOMMENDED. In some cases, Password may be the only compatible RADIUS authentication method available.
o HTTPダイジェスト-RFC5090 RADIUSリモートNAS管理セッションで使用するために選択されたリモート管理プロトコル、たとえばセクション6.1で説明されているリモートNAS管理セッション、およびセクション6.2で説明されているように、保護要件を満たすために選択された安全な輸送プロトコルは明らかに必要ですRADIUSに存在するものと互換性のあるユーザー認証方法をサポートします。これらのプロトコルで使用可能なRADIUS認証方法は、パスワード、CHAP、および場合によってはHTTPダイジェストであり、パスワードは明確な一般的な分母です。公開鍵など、他の、より堅牢な認証メカニズムをサポートする多くの安全なトランスポートがあります。RADIUSは、EAPメソッドのコンテキスト内を除き、公開キー認証をサポートしていません。EAPの適用性ステートメントは、アプリケーション層認証メカニズムとして使用することを意図していないことを示しているため、このドキュメントで説明されているメカニズムでの使用は推奨されません。場合によっては、パスワードが利用可能な唯一の互換性のあるRADIUS認証方法である場合があります。
The Service-Type (6) Attribute is defined in Section 5.6 of RFC 2865 [RFC2865]. This document defines a new value of the Service-Type Attribute, as follows:
サービスタイプ(6)属性は、RFC 2865 [RFC2865]のセクション5.6で定義されています。このドキュメントは、次のように、サービスタイプの属性の新しい値を定義します。
18 Framed-Management
18フレームマネージメント
The semantics of the Framed-Management service are as follows:
額入り管理サービスのセマンティクスは次のとおりです。
Framed-Management A Framed Management protocol session should be started on the NAS.
フレームマネージメントFramed Management Protocolセッションは、NASで開始する必要があります。
This document defines four new RADIUS attributes related to management authorization.
このドキュメントでは、管理承認に関連する4つの新しいRADIUS属性を定義します。
The Framed-Management-Protocol (133) Attribute indicates the application-layer management protocol to be used for Framed Management access. It MAY be used in both Access-Request and Access-Accept packets. This attribute is used in conjunction with a Service-Type (6) Attribute with the value of Framed-Management (18).
フレームマネージメントプロトコル(133)属性は、フレーム付き管理アクセスに使用されるアプリケーション層管理プロトコルを示します。Access-RequestとAccess-Acceptパケットの両方で使用できます。この属性は、フレームマネージメントの価値とサービスタイプ(6)属性と組み合わせて使用されます(18)。
It is RECOMMENDED that the NAS include an appropriately valued Framed-Management-Protocol (133) Attribute in an Access-Request packet, indicating the type of management access being requested. It is further RECOMMENDED that the NAS include a Service-Type (6) Attribute with the value Framed-Management (18) in the same Access-Request packet. The RADIUS server MAY use these attributes as a hint in making its authorization decision.
NASには、アクセスレクエストパケットに適切に価値のあるフレーム管理プロトコル(133)属性を含めることをお勧めします。さらに、NASには、同じアクセスレクエストパケットにframed-management(18)を持つサービスタイプ(6)属性を含めることをお勧めします。RADIUSサーバーは、これらの属性を許可決定を下すためのヒントとして使用する場合があります。
The RADIUS server MAY include a Framed-Management-Protocol (133) Attribute in an Access-Accept packet that also includes a Service-Type (6) Attribute with a value of Framed-Management (18), when the RADIUS server chooses to enforce a management access policy for the authenticated user that dictates one form of management access in preference to others.
RADIUSサーバーには、RADIUSサーバーが強制を選択するときに、フレームマネージメントの値(18)のサービスタイプ(6)属性も含まれるアクセスacceptパケットにフレーム付き管理プロトコル(133)属性を含めることができます。他の人を好む1つの形式の管理アクセスを指示する認証されたユーザーの管理アクセスポリシー。
When a NAS receives a Framed-Management-Protocol (133) Attribute in an Access-Accept packet, it MUST deliver that specified form of management access or disconnect the session. If the NAS does not support the provisioned management application-layer protocol, or the management access protocol requested by the user does not match that of the Framed-Management-Protocol (133) Attribute in the Access-Accept packet, the NAS MUST treat the Access-Accept packet as if it had been an Access-Reject.
NASがAccess-Acceptパケットでフレーム付き管理プロトコル(133)属性を受信する場合、その指定された形式の管理アクセスを提供するか、セッションを切断する必要があります。NASがプロビジョニングされた管理アプリケーション層プロトコルをサポートしていない場合、またはユーザーが要求した管理アクセスプロトコルがAccess-Acceptパケットのフレーム管理プロトコル(133)属性のそれと一致しない場合、NASは扱わなければなりません。Access-Acceptパケットは、Access-Rejectであるかのように。
A summary of the Framed-Management-Protocol (133) Attribute format is shown below. The fields are transmitted from left to right.
Framed-Management-Protocol(133)属性形式の概要を以下に示します。フィールドは左から右に送信されます。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Length | Value
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Value (cont) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Type
タイプ
133 for Framed-Management-Protocol.
133フレームマネージメントプロトコルの場合。
Length
長さ
6
6
Value
価値
The Value field is a four-octet enumerated value.
値フィールドは、4オクテットの列挙値です。
1 SNMP 2 Web-based 3 NETCONF 4 FTP 5 TFTP 6 SFTP 7 RCP 8 SCP
1 SNMP 2 Webベース3 NetConf 4 FTP 5 TFTP 6 SFTP 7 RCP 8 SCP
All other values are reserved for IANA allocation subject to the provisions of Section 11.
他のすべての値は、セクション11の規定の対象となるIANA割り当てのために予約されています。
The acronyms used in the above table expand as follows:
上記の表で使用されている頭字語は次のように拡大します。
o SNMP: Simple Network Management Protocol [RFC3411], [RFC3412], [RFC3413], [RFC3414], [RFC3415], [RFC3416], [RFC3417], [RFC3418].
o SNMP:単純なネットワーク管理プロトコル[RFC3411]、[RFC3412]、[RFC3413]、[RFC3414]、[RFC3415]、[RFC3416]、[RFC3417]、[RFC3418]。
o Web-based: Use of an embedded web server in the NAS for management via a generic web browser client. The interface presented to the administrator may be graphical, tabular, or textual. The protocol is HTML over HTTP. The protocol may optionally be HTML over HTTPS, i.e., using HTTP over TLS [HTML] [RFC2616].
o Webベース:Generic Web Browserクライアントを介して管理のためにNASに組み込まれたWebサーバーを使用します。管理者に提示されたインターフェイスは、グラフィカル、表形式、またはテキストである場合があります。プロトコルはHTTPを介してHTMLです。プロトコルは、オプションでHTTPSを超えるHTMLである可能性があります。つまり、TLS [HTML] [RFC2616]を介してHTTPを使用します。
o NETCONF: Management via the NETCONF protocol using XML over supported transports (e.g., SSH, BEEP, SOAP). As secure transport profiles are defined for NETCONF, the list of transport options may expand [RFC4741], [RFC4742], [RFC4743], [RFC4744].
o NetConf:サポートされているトランスポート(SSH、BEEP、SOAPなど)を介したXMLを使用したNetConfプロトコルを介した管理。NetConfに対して安全な輸送プロファイルが定義されているため、輸送オプションのリストが拡大する可能性があります[RFC4741]、[RFC4742]、[RFC4743]、[RFC4744]。
o FTP: File Transfer Protocol, used to transfer configuration files to and from the NAS [RFC0959].
o FTP:ファイル転送プロトコルは、構成ファイルをNASとの間で転送するために使用されます[RFC0959]。
o TFTP: Trivial File Transfer Protocol, used to transfer configuration files to and from the NAS [RFC1350].
o TFTP:構成ファイルをNAS [RFC1350]との間で転送するために使用される些細なファイル転送プロトコル。
o SFTP: SSH File Transfer Protocol, used to securely transfer configuration files to and from the NAS. SFTP uses the services of SSH [SFTP]. See also Section 3.7, "SSH and File Transfers" of [SSH]. Additional information on the "sftp" program may typically be found in the online documentation ("man" pages) of Unix systems.
o SFTP:SSHファイル転送プロトコルは、構成ファイルをNASとの間で安全に転送するために使用されます。SFTPはSSH [SFTP]のサービスを使用します。[SSH]のセクション3.7、「SSHおよびファイル転送」も参照してください。「SFTP」プログラムに関する追加情報は、通常、UNIXシステムのオンラインドキュメント(「Man」ページ)に記載されている場合があります。
o RCP: Remote CoPy file copy utility (Unix-based), used to transfer configuration files to and from the NAS. See Section 3.7, "SSH and File Transfers", of [SSH]. Additional information on the "rcp" program may typically be found in the online documentation ("man" pages) of Unix systems.
o RCP:リモートコピーファイルのコピーユーティリティ(UNIXベース)、構成ファイルをNASとの間で転送するために使用されます。[SSH]のセクション3.7、「SSHおよびファイル転送」を参照してください。「RCP」プログラムに関する追加情報は、通常、UNIXシステムのオンラインドキュメント(「Man」ページ)に記載されている場合があります。
o SCP: Secure CoPy file copy utility (Unix-based), used to transfer configuration files to and from the NAS. The "scp" program is a simple wrapper around SSH. It's basically a patched BSD Unix "rcp", which uses ssh to do the data transfer (instead of using "rcmd"). See Section 3.7, "SSH and File Transfers", of [SSH]. Additional information on the "scp" program may typically be found in the online documentation ("man" pages) of Unix systems.
o SCP:セキュアコピーファイルコピーユーティリティ(UNIXベース)。構成ファイルをNASとの間で転送するために使用されます。「SCP」プログラムは、SSH周辺のシンプルなラッパーです。基本的には、SSHを使用して(「RCMD」を使用する代わりに)データ転送を行うパッチが施されたBSD UNIX「RCP」です。[SSH]のセクション3.7、「SSHおよびファイル転送」を参照してください。「SCP」プログラムに関する追加情報は、通常、UNIXシステムのオンラインドキュメント(「Man」ページ)に記載されている場合があります。
The Management-Transport-Protection (134) Attribute specifies the minimum level of protection that is required for a protected transport used with the Framed or non-Framed Management access session. The protected transport used by the NAS MAY provide a greater level of protection, but MUST NOT provide a lower level of protection.
管理輸送保護(134)属性は、フレームまたは非フレームの管理アクセスセッションで使用される保護された輸送に必要な保護レベルの最小レベルを指定します。NASが使用する保護された輸送は、より大きなレベルの保護を提供する可能性がありますが、より低いレベルの保護を提供してはなりません。
When a secure form of non-Framed Management access is specified, it means that the remote terminal session is encapsulated in some form of protected transport, or tunnel. It may also mean that an explicit secure mode of operation is required, when the Framed Management protocol contains an intrinsic secure mode of operation. The Management-Transport-Protection (134) Attribute does not apply to CLI access via a local serial port, or other non-remote connection.
安全な形式の非フレーム管理アクセスが指定されている場合、リモート端子セッションが何らかの形の保護された輸送またはトンネルでカプセル化されていることを意味します。また、フレーム付き管理プロトコルに固有の安全な動作モードが含まれている場合、明示的な安全な動作モードが必要であることを意味する場合があります。Management-Transport保護(134)属性は、ローカルシリアルポートまたはその他の非除去接続を介したCLIアクセスには適用されません。
When a secure form of Framed Management access is specified, it means that the application-layer management protocol is encapsulated in some form of protected transport, or tunnel. It may also mean that an explicit secure mode of operation is required, when the Framed Management protocol contains an intrinsic secure mode of operation.
安全な形式のフレーム管理アクセスが指定されている場合、アプリケーションレイヤー管理プロトコルが何らかの形の保護された輸送またはトンネルでカプセル化されることを意味します。また、フレーム付き管理プロトコルに固有の安全な動作モードが含まれている場合、明示的な安全な動作モードが必要であることを意味する場合があります。
A value of "No Protection (1)" indicates that a secure transport protocol is not required, and that the NAS SHOULD accept a connection over any transport associated with the application-layer management protocol. The definitions of management application to transport bindings are defined in the relevant documents that specify those management application protocols. The same "No Protection" semantics are conveyed by omitting this attribute from an Access-Accept packet.
「保護なし(1)」の値は、安全な輸送プロトコルが不要であり、NASはアプリケーション層管理プロトコルに関連する輸送上の接続を受け入れる必要があることを示します。バインディングを輸送するための管理アプリケーションの定義は、それらの管理アプリケーションプロトコルを指定する関連ドキュメントで定義されています。同じ「保護なし」のセマンティクスは、Access-Acceptパケットからこの属性を省略することにより伝えられます。
Specific protected transport protocols, cipher suites, key agreement methods, or authentication methods are not specified by this attribute. Such provisioning is beyond the scope of this document.
特定の保護された輸送プロトコル、暗号スイート、主要な契約方法、または認証方法は、この属性によって指定されていません。このようなプロビジョニングは、このドキュメントの範囲を超えています。
It is RECOMMENDED that the NAS include an appropriately valued Management-Transport-Protection (134) Attribute in an Access-Request packet, indicating the level of transport protection for the management access being requested, when that information is available to the RADIUS client. The RADIUS server MAY use this attribute as a hint in making its authorization decision.
NASには、Access-Requestパケットに適切に評価された管理輸送販売(134)属性を含めることをお勧めします。これは、RADIUSクライアントが利用できる場合、要求される管理アクセスの輸送保護レベルを示します。RADIUSサーバーは、この属性を許可決定を下すためのヒントとして使用する場合があります。
The RADIUS server MAY include a Management-Transport-Protection (134) Attribute in an Access-Accept packet that also includes a Service-Type (6) Attribute with a value of Framed-Management (18), when the RADIUS server chooses to enforce a management access security policy for the authenticated user that dictates a minimum level of transport security.
RADIUSサーバーには、RADIUSサーバーが強制を選択する場合、framed-managementの値(18)のサービスタイプ(6)属性も含まれるアクセスacceptパケットに、管理輸送販売(134)属性を含めることができます。最低レベルの輸送セキュリティを指示する認証されたユーザーの管理アクセスセキュリティポリシー。
When a NAS receives a Management-Transport-Protection (134) Attribute in an Access-Accept packet, it MUST deliver the management access over a transport with equal or better protection characteristics or disconnect the session. If the NAS does not support protected management transport protocols, or the level of protection available does not match that of the Management-Transport-Protection (134) Attribute in the Access-Accept packet, the NAS MUST treat the response packet as if it had been an Access-Reject.
NASがAccess-Acceptパケットで管理輸送局(134)の属性を受け取る場合、等しいまたはより良い保護特性を備えたトランスポート上の管理アクセスを輸送するか、セッションを切断する必要があります。NASが保護された管理輸送プロトコルをサポートしていない場合、または利用可能な保護レベルがAccess-Acceptパケットの管理輸送ポート保護(134)属性のレベルと一致しない場合、NASは応答パケットをあたかも扱わなければなりません。アクセス拒否でした。
A summary of the Management-Transport-Protection (134) Attribute format is shown below. The fields are transmitted from left to right.
管理 - 輸送保護(134)属性形式の概要を以下に示します。フィールドは左から右に送信されます。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Length | Value
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Value (cont) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Type
タイプ
134 for Management-Transport-Protection.
134管理輸送保護のため。
Length
長さ
6
6
Value
価値
The Value field is a four-octet enumerated value.
値フィールドは、4オクテットの列挙値です。
1 No-Protection 2 Integrity-Protection 3 Integrity-Confidentiality-Protection
1無保護2整合性保護3整合性自信 - 保護
All other values are reserved for IANA allocation subject to the provisions of Section 11.
他のすべての値は、セクション11の規定の対象となるIANA割り当てのために予約されています。
The names used in the above table are elaborated as follows:
上記の表で使用されている名前は、次のように詳しく説明されています。
o No-Protection: No transport protection is required. Accept connections via any supported transport.
o 保護なし:輸送保護は必要ありません。サポートされている輸送を介して接続を受け入れます。
o Integrity-Protection: The management transport MUST provide Integrity Protection, i.e., protection from unauthorized modification, using a cryptographic checksum.
o 整合性保護:管理輸送は、暗号化チェックサムを使用して、整合性保護、つまり不正な変更からの保護を提供する必要があります。
o Integrity-Confidentiality-Protection: The management transport MUST provide both Integrity Protection and Confidentiality Protection, i.e., protection from unauthorized modification, using a cryptographic checksum, and protection from unauthorized disclosure, using encryption.
o Integrity-Confidentiality保護:管理輸送は、整合性の保護と機密保護の両方、つまり暗号化チェックサムを使用した不正な修正からの保護、および暗号化を使用して不正な開示からの保護を提供する必要があります。
The configuration or negotiation of acceptable algorithms, modes, and credentials for the cryptographic protection mechanisms used in implementing protected management transports is outside the scope of this document. Many such mechanisms have standardized methods of configuration and key management.
保護された管理輸送の実装に使用される暗号化保護メカニズムの許容可能なアルゴリズム、モード、および資格情報の構成または交渉は、このドキュメントの範囲外です。そのようなメカニズムの多くには、構成と主要な管理の標準化された方法があります。
The Management-Policy-Id (135) Attribute indicates the name of the management access policy for this user. Zero or one Management-Policy-Id (135) Attributes MAY be sent in an Access-Accept packet. Identifying a policy by name allows the policy to be used on different NASes without regard to implementation details.
Management-Policy-ID(135)属性は、このユーザーの管理アクセスポリシーの名前を示します。ゼロまたは1つのmanagement-policy-id(135)属性は、アクセスacceptパケットで送信される場合があります。名前でポリシーを識別することで、実装の詳細に関係なく、ポリシーをさまざまなnaseで使用できます。
Multiple forms of management access rules may be expressed by the underlying named policy, the definition of which is beyond the scope of this document. The management access policy MAY be applied contextually, based on the nature of the management access method. For example, some named policies may only be valid for application to NAS-Prompt (7) services and some other policies may only be valid for SNMP.
複数の形式の管理アクセスルールは、基礎となる名前のポリシーによって表現される場合があります。その定義は、このドキュメントの範囲を超えています。管理アクセスメソッドの性質に基づいて、管理アクセスポリシーをコンテキスト的に適用することができます。たとえば、一部の指定されたポリシーは、NAS-Prompt(7)サービスへの適用に対してのみ有効である場合があり、その他のポリシーはSNMPに対してのみ有効です。
The management access policy named in this attribute, received in an Access-Accept packet, MUST be applied to the session authorized by the Access-Accept. If the NAS supports this attribute, but the policy name is unknown, or if the RADIUS client is able to determine that the policy rules are incorrectly formatted, the NAS MUST treat the Access-Accept packet as if it had been an Access-Reject.
Access-Acceptパケットで受信されたこの属性に指定された管理アクセスポリシーは、Access-Acceptによって承認されたセッションに適用する必要があります。NASがこの属性をサポートしているが、ポリシー名が不明である場合、またはRADIUSクライアントがポリシールールが誤ってフォーマットされていると判断できる場合、NASはアクセスacceptパケットをアクセス拒否であるかのように扱う必要があります。
No precedence relationship is defined for multiple occurrences of the Management-Policy-Id (135) Attribute. NAS behavior in such cases is undefined. Therefore, two or more occurrences of this attribute SHOULD NOT be included in an Access-Accept or CoA-Request (Change-of-Authorization). In the absence of further specification defining some sort of precedence relationship, it is not possible to guarantee multi-vendor interoperability when using multiple instances of this attribute in a single Access-Accept or CoA-Request packet.
Management-Policy-ID(135)属性の複数の発生に対して優先関係は定義されていません。そのような場合のNASの行動は未定義です。したがって、この属性の2つ以上の発生は、アクセスacceptまたはcoa-request(承認の変更)に含めないでください。何らかの優先関係を定義するさらなる仕様がない場合、単一のアクセスアセプトまたはCOA-Requestパケットでこの属性の複数のインスタンスを使用する場合、マルチベンダーの相互運用性を保証することはできません。
The content of the Management-Policy-Id (135) Attribute is expected to be the name of a management access policy of local significance to the NAS, within a namespace of significance to the NAS. In this regard, the behavior is similar to that for the Filter-Id (11) Attribute. The policy names and rules are committed to the local configuration data-store of the NAS, and are provisioned by means beyond the scope of this document, such as via SNMP, NETCONF, or CLI.
Management-Policy-ID(135)属性の内容は、NASにとって重要な名前空間内で、NASにとって局所的な重要性の管理アクセスポリシーの名前であると予想されます。この点で、動作は、フィルターID(11)属性の動作と同様です。ポリシー名とルールは、NASのローカル構成データストアにコミットされており、SNMP、NetConf、CLIなどのこのドキュメントの範囲を超えた手段によってプロビジョニングされています。
The namespace used in the Management-Policy-Id (135) Attribute is simple and monolithic. There is no explicit or implicit structure or hierarchy. For example, in the text string "example.com", the "." (period or dot) is just another character. It is expected that text string matching will be performed without parsing the text string into any sub-fields.
Management-Policy-ID(135)属性で使用される名前空間は、シンプルでモノリシックです。明示的または暗黙的な構造または階層はありません。たとえば、テキスト文字列「Example.com」では、「」。(ピリオドまたはドット)は単なる別のキャラクターです。テキスト文字列をサブフィールドに解析することなく、テキスト文字列のマッチングが実行されることが予想されます。
Overloading or subdividing this simple name with multi-part specifiers (e.g., Access=remote, Level=7) is likely to lead to poor multi-vendor interoperability and SHOULD NOT be utilized. If a simple, unstructured policy name is not sufficient, it is RECOMMENDED that a Vendor Specific (26) Attribute be used instead, rather than overloading the semantics of Management-Policy-Id.
この単純な名前をマルチパート仕様(たとえば、アクセス=リモート、レベル= 7)で過負荷または細分化すると、マルチベンダーの相互運用性が低下する可能性が高く、利用すべきではありません。単純で非構造化されていないポリシー名で十分でない場合は、Management-Policy-IDのセマンティクスを過負荷するのではなく、代わりにベンダー固有の(26)属性を使用することをお勧めします。
A summary of the Management-Policy-Id (135) Attribute format is shown below. The fields are transmitted from left to right.
Management-Policy-ID(135)属性形式の概要を以下に示します。フィールドは左から右に送信されます。
0 1 2
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
| Type | Length | Text ...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
Type
タイプ
135 for Management-Policy-Id.
135 Management-Policy-ID。
Length
長さ
>= 3
> = 3
Text
文章
The Text field is one or more octets, and its contents are implementation dependent. It is intended to be human readable and the contents MUST NOT be parsed by the receiver; the contents can only be used to look up locally defined policies. It is RECOMMENDED that the message contain UTF-8 encoded 10646 [RFC3629] characters.
テキストフィールドは1つ以上のオクテットであり、その内容は実装に依存しています。それは人間が読みやすいことを意図しており、内容物を受信機によって解析してはなりません。内容は、ローカルで定義されたポリシーを検索するためにのみ使用できます。メッセージには、UTF-8エンコード10646 [RFC3629]文字が含まれることをお勧めします。
The Management-Privilege-Level (136) Attribute indicates the integer-valued privilege level to be assigned for management access for the authenticated user. Many NASes provide the notion of differentiated management privilege levels denoted by an integer value. The specific access rights conferred by each value are implementation dependent. It MAY be used in both Access-Request and Access-Accept packets.
Management-Privilege-Level(136)属性は、認証されたユーザーの管理アクセスに割り当てられる整数値の特権レベルを示します。多くのnaseは、整数値で示される差別化された管理特権レベルの概念を提供します。各値によって付与される特定のアクセス権は実装に依存します。Access-RequestとAccess-Acceptパケットの両方で使用できます。
The mapping of integer values for this attribute to specific collections of management access rights or permissions on the NAS is vendor and implementation specific. Such mapping is often a user-configurable feature. It's RECOMMENDED that greater numeric values imply greater privilege. However, it would be a mistake to assume that this recommendation always holds.
NASの管理アクセス権または許可の特定のコレクションへのこの属性の整数値のマッピングは、ベンダーおよび実装固有です。このようなマッピングは、多くの場合、ユーザー構成可能な機能です。数値が大きいと、特権が大きいことを示唆することが推奨されます。ただし、この推奨事項が常に当てはまると仮定するのは間違いです。
The management access level indicated in this attribute, received in an Access-Accept packet, MUST be applied to the session authorized by the Access-Accept. If the NAS supports this attribute, but the privilege level is unknown, the NAS MUST treat the Access-Accept packet as if it had been an Access-Reject.
Access-Acceptパケットで受信されたこの属性に示されている管理アクセスレベルは、Access-Acceptによって承認されたセッションに適用する必要があります。NASがこの属性をサポートしているが、特権レベルが不明な場合、NASはアクセスacceptパケットをアクセス拒否であるかのように扱う必要があります。
A summary of the Management-Privilege-Level (136) Attribute format is show below. The fields are transmitted from left to right.
Management-Privilege-Level(136)属性形式の概要を以下に示します。フィールドは左から右に送信されます。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Length | Value
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Value (cont) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Type
タイプ
136 for Management-Privilege-Level.
136 Management-Privilege-Levelの場合。
Length
長さ
6
6
Value
価値
The Value field is a four-octet Integer, denoting a management privilege level.
値フィールドは、管理特権レベルを示す4オクテットの整数です。
It is RECOMMENDED to limit use of the Management-Privilege-Level (136) Attribute to sessions where the Service-Type (6) Attribute has a value of NAS-Prompt (7) (not Administrative). Typically, NASes treat NAS-Prompt as the minimal privilege CLI service and Administrative as full privilege. Using the Management-Privilege-Level (136) Attribute with a Service-Type (6) Attribute having a value of NAS-Prompt (7) will have the effect of increasing the minimum privilege level. Conversely, it is NOT RECOMMENDED to use this attribute with a Service-Type (6) Attribute with a value of Administrative (6), which may require decreasing the maximum privilege level.
Service-Type(6)属性がNAS-PROMPT(7)(管理ではない)の値を持っているセッションに、Management-Privilege-Level(136)属性の使用を制限することをお勧めします。通常、NasesはNas-Promptを最小限の特権CLIサービスとして扱い、管理者として完全な特権として扱います。NAS-PROMPT(7)の値を持つサービスタイプ(6)属性を使用して、Management-Privilege-Level(136)属性を使用すると、最小特権レベルを上げる効果があります。逆に、この属性をサービスタイプ(6)属性を使用して、最大特権レベルを下げる必要がある場合があります。
It is NOT RECOMMENDED to use the Management-Privilege-Level (136) Attribute in combination with a Management-Policy-Id (135) Attribute or for management access methods other than interactive CLI. The behavior resulting from such an overlay of management access control provisioning is not defined by this document, and in the absence of further specification, is likely to lead to unexpected behaviors, especially in multi-vendor environments.
Management-Policy-ID(135)属性と組み合わせて、またはInteractive CLI以外の管理アクセス方法と組み合わせて、Management-Privilege-Level(136)属性を使用することはお勧めしません。管理アクセス制御プロビジョニングのこのようなオーバーレイに起因する動作は、このドキュメントで定義されておらず、特にマルチベンダー環境では予期しない動作につながる可能性があります。
It is entirely OPTIONAL for the NAS management authorization attributes specified in this document to be used in conjunction with Dynamic Authorization extensions to RADIUS [RFC5176]. When such usage occurs, those attributes MAY be used as listed in the Table of Attributes in Section 10.
このドキュメントで指定されたNAS管理承認属性は、RADIUS [RFC5176]への動的な認証拡張機能と併用するために完全にオプションです。このような使用法が発生すると、これらの属性は、セクション10の属性表にリストされているように使用できます。
Some guidance on how to identify existing management sessions on a NAS for the purposes of Dynamic Authorization is useful. The primary session identifiers SHOULD be User-Name (1) and Service-Type (6). To accommodate instances when that information alone does not uniquely identify a session, a NAS supporting Dynamic Authorization SHOULD maintain one or more internal session identifiers that can be represented as RADIUS attributes. Examples of such attributes include Acct-Session-Id (44), Acct-Multi-Session-Id (50), NAS-Port (5), or NAS-Port-Id (87). In the case of a remote management session, common identifier values might include things such as the remote IP address and remote TCP port number, or the file descriptor value for use with the open socket. Any such identifier is obviously transient in nature, and implementations SHOULD take care to avoid and/or properly handle duplicate or stale values.
動的な承認の目的でNASで既存の管理セッションを特定する方法に関するいくつかのガイダンスは有用です。プライマリセッション識別子は、ユーザー名(1)およびサービスタイプ(6)でなければなりません。その情報だけでセッションを一意に識別しないインスタンスに対応するために、動的な承認をサポートするNASは、半径属性として表現できる1つ以上の内部セッション識別子を維持する必要があります。このような属性の例には、ACCT-Session-ID(44)、ACCT-Multi-Session-ID(50)、NAS-Port(5)、またはNAS-Port-ID(87)が含まれます。リモート管理セッションの場合、一般的な識別子値には、リモートIPアドレスやリモートTCPポート番号、またはオープンソケットで使用するファイル記述子値などが含まれる場合があります。そのような識別子は明らかに本質的に一時的であり、実装は重複した値または古い値を回避および/または適切に処理するように注意する必要があります。
In order for the session identification attributes to be available to the Dynamic Authorization Client, a NAS supporting Dynamic Authorization for management sessions SHOULD include those session identification attributes in the Access-Request message for each such session. Additional discussion of session identification attribute usage may be found in Section 3 of [RFC5176].
動的認証クライアントがセッション識別属性を利用できるようにするために、管理セッションの動的な認証をサポートするNASには、そのようなセッションごとのアクセス要求メッセージにこれらのセッション識別属性を含める必要があります。セッション識別属性の使用に関する追加の議論は、[RFC5176]のセクション3に記載されている場合があります。
1. Unprotected CLI access, via the local console, to the "super-user" access level:
1. 保護されていないCLIアクセスは、ローカルコンソールを介して、「スーパーユーザー」アクセスレベルへのものです。
* Service-Type (6) = Administrative (6)
* service-type(6)= administrative(6)
* NAS-Port-Type (61) = Async (0)
* Nas-Port-Type(61)= async(0)
* Management-Transport-Protection (134) = No-Protection (1)
* Management-Transport-Protection(134)=無保護(1)
2. Unprotected CLI access, via a remote console, to the "super-user" access level:
2. 保護されていないCLIアクセスは、リモートコンソールを介して、「スーパーユーザー」アクセスレベルへのものです。
* Service-Type (6) = Administrative (6)
* service-type(6)= administrative(6)
* NAS-Port-Type (61) = Virtual (5)
* Nas-Port-Type(61)= Virtual(5)
* Management-Transport-Protection (134) = No-Protection (1)
* Management-Transport-Protection(134)=無保護(1)
3. CLI access, via a fully protected secure remote terminal service to the non-privileged user access level:
3. CLIアクセス、完全に保護されたセキュアリモートターミナルサービスを介して、非具体的なユーザーアクセスレベルへのリモートターミナルサービス:
* Service-Type (6) = NAS-Prompt (7)
* service-type(6)= nas-prompt(7)
* NAS-Port-Type (61) = Virtual (5)
* Nas-Port-Type(61)= Virtual(5)
* Management-Transport-Protection (134) = Integrity-Confidentiality-Protection (3)
* Management-Transport-ctection(134)= Integrity-Confidentiality-Protection(3)
4. CLI access, via a fully protected secure remote terminal service, to a custom management access level, defined by a policy:
4. CLIアクセスは、完全に保護された安全なリモート端子サービスを介して、ポリシーで定義されたカスタム管理アクセスレベルへのレベルへのアクセス:
* Service-Type (6) = NAS-Prompt (7)
* service-type(6)= nas-prompt(7)
* NAS-Port-Type (61) = Virtual (5)
* Nas-Port-Type(61)= Virtual(5)
* Management-Transport-Protection (134) = Integrity-Confidentiality-Protection (3)
* Management-Transport-ctection(134)= Integrity-Confidentiality-Protection(3)
* Management-Policy-Id (135) = "Network Administrator"
* management-policy-id(135)= "ネットワーク管理者"
5. CLI access, via a fully protected secure remote terminal service, with a management privilege level of 15:
5. CLIアクセスは、完全に保護されたセキュアリモートターミナルサービスを介して、15の管理特権レベルを備えています。
* Service-Type (6) = NAS-Prompt (7)
* service-type(6)= nas-prompt(7)
* NAS-Port-Type (61) = Virtual (5)
* Nas-Port-Type(61)= Virtual(5)
* Management-Transport-Protection (134) = Integrity-Confidentiality-Protection (3)
* Management-Transport-ctection(134)= Integrity-Confidentiality-Protection(3)
* Management-Privilege-Level (136) = 15
* Management-Privilege-Level(136)= 15
6. SNMP access, using an Access Control Model specifier, such as a custom VACM View, defined by a policy:
6. ポリシーで定義されたカスタムVacmビューなど、アクセス制御モデル仕様を使用するSNMPアクセス:
* Service-Type (6) = Framed-Management (18)
* service-type(6)= framed-management(18)
* NAS-Port-Type (61) = Virtual (5)
* Nas-Port-Type(61)= Virtual(5)
* Framed-Management-Protocol (133) = SNMP (1)
* framed-management-protocol(133)= snmp(1)
* Management-Policy-Id (135) = "SNMP Network Administrator View" There is currently no standardized way of implementing this management policy mapping within SNMP. Such mechanisms are the topic of current research.
* Management-Policy-ID(135)= "SNMPネットワーク管理者ビュー"現在、SNMP内でこの管理ポリシーマッピングを実装する標準化された方法はありません。このようなメカニズムは、現在の研究のトピックです。
7. SNMP fully protected access:
7. SNMP完全保護されたアクセス:
* Service-Type (6) = Framed-Management (18)
* service-type(6)= framed-management(18)
* NAS-Port-Type (61) = Virtual (5)
* Nas-Port-Type(61)= Virtual(5)
* Framed-Management-Protocol (133) = SNMP (1)
* framed-management-protocol(133)= snmp(1)
* Management-Transport-Protection (134) = Integrity-Confidentiality-Protection (3)
* Management-Transport-ctection(134)= Integrity-Confidentiality-Protection(3)
8. Web (HTTP/HTML) access:
8. web(http/html)アクセス:
* Service-Type (6) = Framed-Management (18)
* service-type(6)= framed-management(18)
* NAS-Port-Type (61) = Virtual (5)
* Nas-Port-Type(61)= Virtual(5)
* Framed-Management-Protocol (133) = Web-based (2)
* framed-management-protocol(133)= webベース(2)
9. Secure web access, using a custom management access level, defined by a policy:
9. ポリシーで定義されたカスタム管理アクセスレベルを使用したセキュアーWebアクセス:
* Service-Type (6) = Framed-Management (18)
* service-type(6)= framed-management(18)
* NAS-Port-Type (61) = Virtual (5)
* Nas-Port-Type(61)= Virtual(5)
* Framed-Management-Protocol (133) = Web-based (2)
* framed-management-protocol(133)= webベース(2)
* Management-Transport-Protection (134) = Integrity-Confidentiality-Protection (3)
* Management-Transport-ctection(134)= Integrity-Confidentiality-Protection(3)
* Management-Policy-Id (135) = "Read-only web access"
* management-policy-id(135)= "読み取り専用のWebアクセス"
When used in Diameter, the attributes defined in this specification can be used as Diameter attribute-value pairs (AVPs) from the Code space 1-255 (RADIUS attribute compatibility space). No additional Diameter Code values are therefore allocated. The data types and flag rules for the attributes are as follows:
直径で使用する場合、この仕様で定義されている属性は、コードスペース1-255(RADIUS属性互換性スペース)の直径属性値ペア(AVP)として使用できます。したがって、追加の直径コード値は割り当てられていません。属性のデータ型とフラグルールは次のとおりです。
+---------------------+
| AVP Flag rules |
|----+-----+----+-----|----+
| | SHOULD MUST| |
Attribute Name Value Type |MUST| MAY | NOT| NOT|Encr|
---------------------------------|----+-----+----+-----|----|
Service-Type | | | | | |
Enumerated | M | P | | V | Y |
Framed-Management-Protocol | | | | | |
Enumerated | M | P | | V | Y |
Management-Transport-Protection | | | | | |
Enumerated | M | P | | V | Y |
Management-Policy-Id | | | | | |
UTF8String | M | P | | V | Y |
Management-Privilege-Level | | | | | |
Integer | M | P | | V | Y |
---------------------------------|----+-----+----+-----|----|
The attributes in this specification have no special translation requirements for Diameter to RADIUS or RADIUS to Diameter gateways; they are copied as is, except for changes relating to headers, alignment, and padding. See also [RFC3588], Section 4.1, and [RFC4005], Section 9.
この仕様の属性には、直径または半径から直径ゲートウェイの特別な変換要件はありません。ヘッダー、アライメント、パディングに関連する変更を除いて、それらはそのままコピーされます。[RFC3588]、セクション4.1、および[RFC4005]、セクション9も参照してください。
What this specification says about the applicability of the attributes for RADIUS Access-Request packets applies in Diameter to AA-Request [RFC4005].
RADIUS Access-Requestパケットの属性の適用性についてこの仕様が示すことは、AA-Request [RFC4005]に直径に適用されます。
What is said about Access-Accept applies in Diameter to AA-Answer messages that indicate success.
Access-Acceptについて言われていることは、成功を示すAA-Answerメッセージに直径に適用されます。
The following table provides a guide to which attributes may be found in which kinds of packets, and in what quantity.
次の表は、どの種類のパケットとどのような量の属性が見つかるかについてのガイドを示します。
Access Messages
Request Accept Reject Challenge # Attribute
---------------------------------------------------------------------
0-1 0-1 0 0 133 Framed-Management-Protocol
0-1 0-1 0 0 134 Management-Transport-Protection
0 0-1 0 0 135 Management-Policy-Id
0 0-1 0 0 136 Management-Privilege-Level
Accounting Messages
Request Response # Attribute
---------------------------------------------------------------------
0-1 0 133 Framed-Management-Protocol
0-1 0 134 Management-Transport-Protection
0-1 0 135 Management-Policy-Id
0-1 0 136 Management-Privilege-Level
Change-of-Authorization Messages
Request ACK NAK # Attribute
--------------------------------------------------------------------
0 0 0 133 Framed-Management-Protocol
0 0 0 134 Management-Transport-Protection
0-1 0 0 135 Management-Policy-Id (Note 1)
0-1 0 0 136 Management-Privilege-Level (Note 1)
Disconnect Messages
Request ACK NAK # Attribute
---------------------------------------------------------------------
0 0 0 133 Framed-Management-Protocol
0 0 0 134 Management-Transport-Protection
0 0 0 135 Management-Policy-Id
0 0 0 136 Management-Privilege-Level
(Note 1) When included within a CoA-Request, these attributes represent an authorization change request. When one of these attributes is omitted from a CoA-Request, the NAS assumes that the attribute value is to remain unchanged. Attributes included in a CoA-Request replace all existing values of the same attribute(s).
(注1)COA-Requestに含まれる場合、これらの属性は認証変更リクエストを表します。これらの属性のいずれかがCOA-Requestから省略されると、NASは属性値が変更されていないと想定しています。COA-Requestに含まれる属性は、同じ属性のすべての既存の値を置き換えます。
The following table defines the meaning of the above table entries.
次の表は、上記のテーブルエントリの意味を定義しています。
0 This attribute MUST NOT be present in a packet. 0+ Zero or more instances of this attribute MAY be present in a packet. 0-1 Zero or one instance of this attribute MAY be present in a packet. 1 Exactly one instance of this attribute MUST be present in a packet.
0この属性をパケットに存在してはなりません。この属性の0ゼロ以上のインスタンスがパケットに存在する場合があります。この属性の0-1インスタンスまたは1つのインスタンスがパケットに存在する場合があります。1この属性の1つのインスタンスがパケットに存在する必要があります。
The following numbers have been assigned in the RADIUS Attribute Types registry.
次の数値は、RADIUS属性タイプレジストリに割り当てられています。
o New enumerated value for the existing Service-Type Attribute:
o 既存のサービスタイプ属性の新しい列挙値:
* Framed-Management (18)
* 額入り管理(18)
o New RADIUS Attribute Types:
o 新しいRADIUS属性タイプ:
* Framed-Management-Protocol (133)
* フレームマネージョンプロトコル(133)
* Management-Transport-Protection (134)
* 管理輸送保護(134)
* Management-Policy-Id (135)
* management-policy-id(135)
* Management-Privilege-Level (136)
* Management-Privilege-Level(136)
The enumerated values of the newly assigned RADIUS Attribute Types as defined in this document were assigned at the same time as the new Attribute Types.
このドキュメントで定義されている新しく割り当てられたRADIUS属性タイプの列挙値は、新しい属性タイプと同時に割り当てられました。
For the Framed-Management-Protocol Attribute:
フレームマネージメントプロトコル属性の場合:
1 SNMP 2 Web-based 3 NETCONF 4 FTP 5 TFTP 6 SFTP 7 RCP 8 SCP
1 SNMP 2 Webベース3 NetConf 4 FTP 5 TFTP 6 SFTP 7 RCP 8 SCP
For the Management-Transport-Protection Attribute:
管理 - 輸送保護属性の場合:
1 No-Protection 2 Integrity-Protection 3 Integrity-Confidentiality-Protection
1無保護2整合性保護3整合性自信 - 保護
Assignments of additional enumerated values for the RADIUS attributes defined in this document are to be processed as described in [RFC3575], subject to the additional requirement of a published specification.
このドキュメントで定義されている半径属性の追加の列挙値の割り当ては、公開された仕様の追加要件を条件として、[RFC3575]で説明されているように処理されます。
This specification describes the use of RADIUS and Diameter for purposes of authentication, authorization, and accounting for management access to devices within networks. RADIUS threats and security issues for this application are described in [RFC3579] and
この仕様では、ネットワーク内のデバイスへの管理アクセスのための認証、承認、および会計のために、半径と直径の使用について説明します。このアプリケーションの半径の脅威とセキュリティの問題は、[RFC3579]と
[RFC3580]; security issues encountered in roaming are described in [RFC2607]. For Diameter, the security issues relating to this application are described in [RFC4005] and [RFC4072].
[RFC3580];ローミングで発生したセキュリティの問題は、[RFC2607]で説明されています。直径の場合、このアプリケーションに関連するセキュリティの問題は[RFC4005]および[RFC4072]に記載されています。
This document specifies new attributes that can be included in existing RADIUS packets, which may be protected as described in [RFC3579] and [RFC5176]. In Diameter, the attributes are protected as specified in [RFC3588]. See those documents for a more detailed description.
このドキュメントは、[RFC3579]および[RFC5176]で説明されているように保護できる既存のRADIUSパケットに含めることができる新しい属性を指定します。直径では、属性は[RFC3588]で指定されているように保護されています。より詳細な説明については、これらのドキュメントを参照してください。
The security mechanisms supported in RADIUS and Diameter are focused on preventing an attacker from spoofing packets or modifying packets in transit. They do not prevent an authorized RADIUS/Diameter server or proxy from inserting attributes with malicious intent.
半径と直径でサポートされているセキュリティメカニズムは、攻撃者がパケットをスプーフィングしたり、輸送中のパケットの変更を防ぐことに焦点を当てています。それらは、承認された半径/直径サーバーまたはプロキシが悪意を持って属性を挿入することを妨げません。
A legacy NAS may not recognize the attributes in this document that supplement the provisioning of CLI management access. If the value of the Service-Type Attribute is NAS-Prompt or Administrative, the legacy NAS may silently discard such attributes, while permitting the user to access the CLI management interface(s) of the NAS. This can lead to users improperly receiving authorized management access to the NAS, or access with greater levels of access rights than were intended. RADIUS servers SHOULD attempt to ascertain whether or not the NAS supports these attributes before sending them in an Access-Accept message that provisions CLI access.
レガシーNASは、CLI管理アクセスのプロビジョニングを補完するこのドキュメントの属性を認識しない場合があります。Service-Type属性の値がNASプロンプトまたは管理者である場合、NASはそのような属性を静かに破棄し、ユーザーがNASのCLI管理インターフェイスにアクセスすることを許可する場合があります。これにより、ユーザーはNASへの認可された管理アクセスを不適切に受信したり、意図したよりも高いレベルのアクセス権を持つアクセスを受けたりする可能性があります。RADIUSサーバーは、NASがこれらの属性をサポートするかどうかを確認してから、CLIアクセスを提供するAccess-Acceptメッセージに送信する必要があります。
It is possible that certain NAS implementations may not be able to determine the protection properties of the underlying transport protocol as specified by the Management-Transport-Protection Attribute. This may be a limitation of the standard application programming interface of the underlying transport implementation or of the integration of the transport into the NAS implementation. In either event, NASes conforming to this specification, which cannot determine the protection state of the remote management connection, MUST treat an Access-Accept message containing a Management-Transport-Protection Attribute containing a value other than No-Protection (1) as if it were an Access-Reject message, unless specifically overridden by local policy configuration.
特定のNASの実装が、管理輸送属性属性によって指定されている基礎となる輸送プロトコルの保護特性を決定できない可能性があります。これは、基礎となる輸送実装の標準アプリケーションプログラミングインターフェイスまたはNASの実装への輸送の統合の制限かもしれません。どちらの場合でも、リモート管理接続の保護状態を決定できないこの仕様に準拠しているNASEは、無保護(1)以外の値を含む管理輸送プロテクション属性を含むアクセス許容メッセージを扱う必要があります。ローカルポリシーの構成によって特に上書きされない限り、これはアクセス拒否メッセージでした。
Use of the No-Protection (1) option for the Management-Transport-Protection (134) Attribute is NOT RECOMMENDED in any deployment where secure management or configuration is required.
安全な管理または構成が必要な展開では、管理 - 輸送プロテクション(134)の属性のための非保護(1)オプションの使用は推奨されません。
The device management access authorization attributes presented in this document present certain considerations when used in RADIUS proxy environments. These considerations are not different from those that exist in RFC 2865 [RFC2865] with respect to the Service-Type Attribute values of Administrative and NAS-Prompt.
このドキュメントに示されているデバイス管理アクセス承認属性は、RADIUSプロキシ環境で使用される場合、特定の考慮事項を提示します。これらの考慮事項は、管理およびNAS-Promptのサービスタイプ属性値に関して、RFC 2865 [RFC2865]に存在するものと違いはありません。
Most RADIUS proxy environments are also multi-party environments. In multi-party proxy environments it is important to distinguish which entities have the authority to provision management access to the edge devices, i.e., NASes, and which entities only have authority to provision network access services of various sorts.
ほとんどの半径プロキシ環境もマルチパーティ環境です。マルチパーティプロキシ環境では、どのエンティがエッジデバイス、つまりNASEに管理アクセスを提供する権限を持っているか、どのエンティティがさまざまな種類のネットワークアクセスサービスを提供する権限を持つかを区別することが重要です。
It may be important that operators of the NAS are able to ensure that access to the CLI, or other management interfaces of the NAS, is only provisioned to their own employees or contractors. One way for the NAS to enforce this requirement is to use only local, non-proxy RADIUS servers for management access requests. Proxy RADIUS servers could be used for non-management access requests, based on local policy. This "bifurcation" of RADIUS authentication and authorization is a simple case of separate administrative realms. The NAS may be designed so as to maintain separate lists of RADIUS servers for management AAA use and for non-management AAA use.
NASのオペレーターは、CLIまたはNASの他の管理インターフェイスへのアクセスが、自分の従業員または請負業者にのみプロビジョニングされることを保証できることが重要かもしれません。NASがこの要件を実施する1つの方法は、管理アクセスリクエストにローカルの非プロキシ半径サーバーのみを使用することです。Proxy Radiusサーバーは、ローカルポリシーに基づいて、非管理アクセスリクエストに使用できます。半径認証と認証のこの「分岐」は、別々の管理領域の単純なケースです。NASは、管理AAAの使用および非管理AAA使用のために、RADIUSサーバーの個別のリストを維持するように設計することができます。
An alternate method of enforcing this requirement would be for the first-hop RADIUS proxy server, operated by the owner of the NAS, to filter out any RADIUS attributes that provision management access rights that originate from "up-stream" proxy servers not operated by the NAS owner. Access-Accept messages that provision such locally unauthorized management access MAY be treated as if they were an Access-Reject by the first-hop proxy server.
この要件を実施する別の方法は、NASの所有者が運営する最初のHOP RADIUSプロキシサーバーが、「アップストリーム」プロキシサーバーに由来するプロビジョン管理アクセス権を提供するRADIUS属性を除外することです。NASの所有者。このようなローカルで不正な管理アクセスを提供するアクセスアクセプトメッセージは、ファーストホッププロキシサーバーによってアクセス拒否であるかのように扱われる場合があります。
An additional exposure present in proxy deployments is that sensitive user credentials, e.g., passwords, are likely to be available in cleartext form at each of the proxy servers. Encrypted or hashed credentials are not subject to this risk, but password authentication is a very commonly used mechanism for management access authentication, and in RADIUS passwords are only protected on a hop-by-hop basis. Malicious proxy servers could misuse this sensitive information.
プロキシの展開に存在する追加の露出は、たとえばパスワードなど、各プロキシサーバーでクリアテキスト形式で利用可能になる可能性が高いことです。暗号化またはハッシュされた資格情報はこのリスクの対象ではありませんが、パスワード認証は管理アクセス認証のために非常に一般的に使用されるメカニズムであり、RADIUSでは、ホップバイホップベースでのみ保護されます。悪意のあるプロキシサーバーは、この機密情報を誤用する可能性があります。
These issues are not of concern when all the RADIUS servers, local and proxy, used by the NAS are under the sole administrative control of the NAS owner.
これらの問題は、NASが使用するローカルおよびプロキシのすべてのRADIUSサーバーがNAS所有者の唯一の管理管理下にある場合、懸念はありません。
Many thanks to all reviewers, including Bernard Aboba, Alan DeKok, David Harrington, Mauricio Sanchez, Juergen Schoenwaelder, Hannes Tschofenig, Barney Wolff, and Glen Zorn.
バーナード・アボバ、アラン・デコク、デビッド・ハリントン、マウリシオ・サンチェス、ジュエルゲン・シェーンワエルダー、ハンヌ・ツェンヴェニグ、バーニー・ウルフ、グレン・ゾーンなど、すべてのレビュアーに感謝します。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するためのキーワード」、BCP 14、RFC 2119、1997年3月。
[RFC2865] Rigney, C., Willens, S., Rubens, A., and W. Simpson, "Remote Authentication Dial In User Service (RADIUS)", RFC 2865, June 2000.
[RFC2865] Rigney、C.、Willens、S.、Rubens、A。、およびW. Simpson、「リモート認証ダイヤルインユーザーサービス(RADIUS)」、RFC 2865、2000年6月。
[RFC3629] Yergeau, F., "UTF-8, a transformation format of ISO 10646", STD 63, RFC 3629, November 2003.
[RFC3629] Yergeau、F。、「UTF-8、ISO 10646の変換形式」、STD 63、RFC 3629、2003年11月。
[HTML] Raggett, D., Le Hors, A., and I. Jacobs, "The HTML 4.01 Specification, W3C", December 1999.
[HTML] Raggett、D.、Le Hors、A。、およびI. Jacobs、「The HTML 4.01仕様、W3C」、1999年12月。
[RFC0959] Postel, J. and J. Reynolds, "File Transfer Protocol", STD 9, RFC 959, October 1985.
[RFC0959] Postel、J。およびJ. Reynolds、「ファイル転送プロトコル」、STD 9、RFC 959、1985年10月。
[RFC1350] Sollins, K., "The TFTP Protocol (Revision 2)", STD 33, RFC 1350, July 1992.
[RFC1350]ソリンズ、K。、「TFTPプロトコル(改訂2)」、STD 33、RFC 1350、1992年7月。
[RFC2607] Aboba, B. and J. Vollbrecht, "Proxy Chaining and Policy Implementation in Roaming", RFC 2607, June 1999.
[RFC2607] Aboba、B。およびJ. Vollbrecht、「ローミングにおけるプロキシチェーンと政策の実施」、RFC 2607、1999年6月。
[RFC2616] Fielding, R., Gettys, J., Mogul, J., Frystyk, H., Masinter, L., Leach, P., and T. Berners-Lee, "Hypertext Transfer Protocol -- HTTP/1.1", RFC 2616, June 1999.
[RFC2616] Fielding、R.、Gettys、J.、Mogul、J.、Frystyk、H.、Masinter、L.、Leach、P。、およびT. Berners-Lee、「HyperText Transfer Protocol-HTTP/1.1」、RFC 2616、1999年6月。
[RFC2866] Rigney, C., "RADIUS Accounting", RFC 2866, June 2000.
[RFC2866] Rigney、C。、「Radius Accounting」、RFC 2866、2000年6月。
[RFC3411] Harrington, D., Presuhn, R., and B. Wijnen, "An Architecture for Describing Simple Network Management Protocol (SNMP) Management Frameworks", STD 62, RFC 3411, December 2002.
[RFC3411] Harrington、D.、Presuhn、R。、およびB. Wijnen、「単純なネットワーク管理プロトコル(SNMP)管理フレームワークを説明するためのアーキテクチャ」、STD 62、RFC 3411、2002年12月。
[RFC3412] Case, J., Harrington, D., Presuhn, R., and B. Wijnen, "Message Processing and Dispatching for the Simple Network Management Protocol (SNMP)", STD 62, RFC 3412, December 2002.
[RFC3412] Case、J.、Harrington、D.、Presuhn、R。、およびB. Wijnen、「シンプルネットワーク管理プロトコル(SNMP)のメッセージ処理とディスパッチ」、STD 62、RFC 3412、2002年12月。
[RFC3413] Levi, D., Meyer, P., and B. Stewart, "Simple Network Management Protocol (SNMP) Applications", STD 62, RFC 3413, December 2002.
[RFC3413] Levi、D.、Meyer、P。、およびB. Stewart、「Simple Network Management Protocol(SNMP)アプリケーション」、STD 62、RFC 3413、2002年12月。
[RFC3414] Blumenthal, U. and B. Wijnen, "User-based Security Model (USM) for version 3 of the Simple Network Management Protocol (SNMPv3)", STD 62, RFC 3414, December 2002.
[RFC3414] Blumenthal、U.およびB. Wijnen、「単純なネットワーク管理プロトコル(SNMPV3)のバージョン3のユーザーベースのセキュリティモデル(USM)」、STD 62、RFC 3414、2002年12月。
[RFC3415] Wijnen, B., Presuhn, R., and K. McCloghrie, "View-based Access Control Model (VACM) for the Simple Network Management Protocol (SNMP)", STD 62, RFC 3415, December 2002.
[RFC3415] Wijnen、B.、Presuhn、R。、およびK. McCloghrie、「シンプルネットワーク管理プロトコル(SNMP)のビューベースのアクセス制御モデル(VACM)」、2002年12月、RFC 3415、RFC 3415。
[RFC3416] Presuhn, R., "Version 2 of the Protocol Operations for the Simple Network Management Protocol (SNMP)", STD 62, RFC 3416, December 2002.
[RFC3416] Presuhn、R。、「Simple Network Management Protocol(SNMP)のプロトコル操作のバージョン2」、STD 62、RFC 3416、2002年12月。
[RFC3417] Presuhn, R., "Transport Mappings for the Simple Network Management Protocol (SNMP)", STD 62, RFC 3417, December 2002.
[RFC3417] Presuhn、R。、「シンプルネットワーク管理プロトコル(SNMP)の輸送マッピング」、STD 62、RFC 3417、2002年12月。
[RFC3418] Presuhn, R., "Management Information Base (MIB) for the Simple Network Management Protocol (SNMP)", STD 62, RFC 3418, December 2002.
[RFC3418] Presuhn、R。、「単純なネットワーク管理プロトコル(SNMP)の管理情報基盤(MIB)」、STD 62、RFC 3418、2002年12月。
[RFC3575] Aboba, B., "IANA Considerations for RADIUS (Remote Authentication Dial In User Service)", RFC 3575, July 2003.
[RFC3575] Aboba、B。、「RADIUS(ユーザーサービスのリモート認証ダイヤル)のIANAの考慮事項」、RFC 3575、2003年7月。
[RFC3579] Aboba, B. and P. Calhoun, "RADIUS (Remote Authentication Dial In User Service) Support For Extensible Authentication Protocol (EAP)", RFC 3579, September 2003.
[RFC3579] Aboba、B。およびP. Calhoun、「RADIUS(リモート認証ダイヤルインユーザーサービス)拡張可能な認証プロトコル(EAP)のサポート」、RFC 3579、2003年9月。
[RFC3580] Congdon, P., Aboba, B., Smith, A., Zorn, G., and J. Roese, "IEEE 802.1X Remote Authentication Dial In User Service (RADIUS) Usage Guidelines", RFC 3580, September 2003.
[RFC3580] Congdon、P.、Aboba、B.、Smith、A.、Zorn、G。、およびJ. Roese、「IEEE 802.1xリモート認証ダイヤルインユーザーサービス(RADIUS)使用ガイドライン」、RFC 3580、2003年9月。
[RFC3588] Calhoun, P., Loughney, J., Guttman, E., Zorn, G., and J. Arkko, "Diameter Base Protocol", RFC 3588, September 2003.
[RFC3588] Calhoun、P.、Loughney、J.、Guttman、E.、Zorn、G。、およびJ. Arkko、「直径ベースプロトコル」、RFC 3588、2003年9月。
[RFC4005] Calhoun, P., Zorn, G., Spence, D., and D. Mitton, "Diameter Network Access Server Application", RFC 4005, August 2005.
[RFC4005] Calhoun、P.、Zorn、G.、Spence、D。、およびD. Mitton、「Diameter Network Access Server Application」、RFC 4005、2005年8月。
[RFC4072] Eronen, P., Hiller, T., and G. Zorn, "Diameter Extensible Authentication Protocol (EAP) Application", RFC 4072, August 2005.
[RFC4072] Eronen、P.、Hiller、T。、およびG. Zorn、「直径拡張可能な認証プロトコル(EAP)アプリケーション」、RFC 4072、2005年8月。
[RFC4741] Enns, R., "NETCONF Configuration Protocol", RFC 4741, December 2006.
[RFC4741] ENNS、R。、「NetConf Configuration Protocol」、RFC 4741、2006年12月。
[RFC4742] Wasserman, M. and T. Goddard, "Using the NETCONF Configuration Protocol over Secure SHell (SSH)", RFC 4742, December 2006.
[RFC4742] Wasserman、M。およびT. Goddard、「Secure Shell(SSH)を介したNetConf構成プロトコルを使用」、RFC 4742、2006年12月。
[RFC4743] Goddard, T., "Using NETCONF over the Simple Object Access Protocol (SOAP)", RFC 4743, December 2006.
[RFC4743] Goddard、T。、「Simple Object Access Protocol(SOAP)でNetConfを使用」、RFC 4743、2006年12月。
[RFC4744] Lear, E. and K. Crozier, "Using the NETCONF Protocol over the Blocks Extensible Exchange Protocol (BEEP)", RFC 4744, December 2006.
[RFC4744] Lear、E。およびK. Crozier、「Blocks拡張可能な交換プロトコル(BEEP)を介してNetConfプロトコルを使用」、RFC 4744、2006年12月。
[RFC5176] Chiba, M., Dommety, G., Eklund, M., Mitton, D., and B. Aboba, "Dynamic Authorization Extensions to Remote Authentication Dial In User Service (RADIUS)", RFC 5176, January 2008.
[RFC5176] Chiba、M.、Dommety、G.、Eklund、M.、Mitton、D.、およびB. Aboba、「Remote Authentication Dial in User Service(RADIUS)への動的認証拡張」、RFC 5176、2008年1月。
[SFTP] Galbraith, J. and O. Saarenmaa, "SSH File Transfer Protocol", Work in Progress, July 2006.
[SFTP] Galbraith、J。およびO. Saarenmaa、「SSH File Transfer Protocol」、2006年7月、進行中の作業。
[SSH] Barrett, D., Silverman, R., and R. Byrnes, "SSH, the Secure Shell: The Definitive Guide, Second Edition, O'Reilly and Associates", May 2005.
[SSH] Barrett、D.、Silverman、R。、およびR. Byrnes、「SSH、The Secure Guide、The Definitive Guide、Second Edition、O'Reilly and Associates」、2005年5月。
Authors' Addresses
著者のアドレス
David B. Nelson Elbrys Networks, Inc. 282 Corporate Drive Portsmouth, NH 03801 USA
David B. Nelson Elbrys Networks、Inc。282 Corporate Drive Portsmouth、NH 03801 USA
EMail: dnelson@elbrysnetworks.com
Greg Weber Individual Contributor Knoxville, TN 37932 USA
グレッグウェーバー個人貢献者ノックスビル、テネシー州37932 USA
EMail: gdweber@gmail.com